OPINION. « Et si un monde plus sûr émergeait après Mythos ? »
latribune.fr

Illustration
REUTERS - Dado Ruvic
latribune.fr

Illustration
REUTERS - Dado Ruvic
Par Charles Cuvelliez, Ecole Polytechnique de Bruxelles (ULB) ; Gaël Hachez, Haute-Ecole Libre de Bruxelles (HELB) et David Vanderoost, CEO Approach-Cyber
Beaucoup est dit sur Mythos et sur le culte du secret de Anthropic. Ce dernier a pourtant écrit un rapport technique sur les capacités de Mythos dont l’analyse nuance certains propos apocalyptiques tenus de ci de là. Les chercheurs y relatent les percées que Mythos rend possible : détecter des failles zero-day dans du code open source, reconstituer le fonctionnement de logiciels propriétaires pour en identifier les vulnérabilités, tout ce que son prédécesseur Opus 4.6 faisait déjà bien. Le saut de Mythos, c’est sa capacité à exploiter ces failles.
Les chercheurs ont évalué Mythos sur sa capacité à identifier des vraies failles zero-day, ces erreurs jamais découvertes avant, qui ne se trouvaient pas cachées dans des données d’entraînement. Le résultat impressionne: Mythos examine seul du code, détecte des bogues et les valide en éxécutant le programme et en activant le bogue. Il écrit un rapport de vulnérabilité que les chercheurs réintroduisent ensuite comme donnée d’entrée. Mythos se juge lui-même (sans savoir que le rapport vient de lui) pour ne retenir que les bogues sérieux.
Et ce n’est pas bon : Mythos aurait identifié plusieurs milliers de failles supplémentaires, majoritairement critiques (entretemps transmises à ceux qui maintiennent les projets open source et aux éditeurs de logiciels pour correction). La gravité des failles a été confirmée par les experts en sécurité (jugement par les pairs comme en science) : sur 198 cas examinés, 89% étaient en accord, les autres n’affichant qu’un écart mineur d’évaluation (un niveau de différence).
Une vulnérabilité n’est qu’une faiblesse potentielle, encore faut-il pouvoir l’exploiter pour compromettre un système. Encore doit -elle en valoir la peine pour que des hackers développent un exploit en ce sens, comme obtenir un accès non autorisé à un système cible. Pas de problème, Mythos pourra le faire à leur place
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Les chercheurs ne dévoilent rien et pour cause mais les exemples exposés sont plausibles, allant de perturbations dans l’exécution du JavaScript par les navigateurs à des contournements d’authentification dans des applications web, jusqu’à des erreurs d’implémentation dans des bibliothèques cryptographiques comme TLS, AES-GCM ou SSH. Mythos se distingue surtout par sa capacité à détecter des failles logiques, pas de bêtes erreurs de programmation, liées à des écarts entre le comportement réel du code et le modèle de sécurité attendu. Des écarts entre ce que le code fait et ce qu’il devrait faire.
Mythos se distingue de ses prédécesseurs surtout par sa capacité à exploiter des vulnérabilités. Les chercheurs l’ont testé sur des failles connues et corrigées (forcément, pour rester éthique) : sur 100 cas issus répertoriés en 2024 et 2025, le modèle en a retenu 40 parmi les plus exploitables. Pour chacune, il devait produire un exploit d’élévation de privilèges, parfois en combinant plusieurs failles, avec un taux de réussite supérieur à 50%.
Faut-il pleurer ? Ceux qui n’ont pas lu le rapport sans doute. Les chercheurs se veulent combattifs : en attendant Mythos, les entreprises peuvent s’appuyer sur les modèles actuels pour détecter les vulnérabilités dans les logiciels qu’ils conçoivent. Mythos ne fait qu’être bon pour les exploiter. Il suffit de les éviter. Ces modèles font même plus : ils allègent de nombreuses tâches de sécurité qui reposent encore sur un tri des alertes, des rapports de vulnérabilité, des jugements de dernier ressort.
Quand Mythos sortira, on va enfin détecter toutes les vulnérabilités dormantes que personne n’a jamais découvertes sauf de temps en temps par hasard. Là où la méthode est discutable, c’est quand Anthropic réserve la primeur de Mythos à quelques grandes firmes pour leur permettre de découvrir les vulnérabilités avant tous les autres (le projet Glasswing).
Pourquoi n’avoir pas créé un système de guichet pour toutes les entreprises qui publient leur vulnérabilités sur les base de données officielles à cet effet ? C’est même un monde plus sûr qui peut émerger après une période difficile. Viser une prévention absolue deviendra un leurre : tout reposera sur les capacités de détection et de réponse. C’est le temps du VulnOps, l’opérationnalisation des vulnérabilités.
______
Pour en savoir plus :
latribune.fr